.
Organizações industriais importantes continuaram a ser atingidas por ataques de ransomware em julho, enquanto especialistas sugerem que os criminosos estão cada vez mais confiantes de que as autoridades não irão intervir.
Dos 395 ataques de ransomware reivindicados por criminosos no mês passado, mais de um terço (125 ou 34 por cento) teve como alvo organizações industriais críticas, disse o NCC Group hoje. De acordo com os números da empresa, o setor industrial tem sido o mais visado por ransomware desde 2021.
“As organizações dentro da CNI fornecem serviços essenciais à sociedade, o que as torna alvos valiosos, e os agentes de ransomware pressionam esses alvos a pagar, explorando sua necessidade de permanecerem operacionais”, afirma o relatório dos pesquisadores.
“Além disso, uma maior interconectividade entre a tecnologia operacional e a TI expandiu a superfície de ataque, fornecendo um número maior de pontos de entrada potenciais para facilitar ataques de ransomware.”
Os seguidores das notícias de infosec no ano passado podem pensar que a área da saúde estaria no topo da lista, dadas as várias catástrofes em empresas como Change Healthcare e Synnovis. No entanto, aqueles no setor industrial tinham muito mais probabilidade de serem alvos, registrando quase três vezes mais ataques do que os próximos mais atingidos, os cíclicos de consumo.
Provedores de setores críticos eram considerados proibidos por muitos criminosos de ransomware há pouco tempo, devido à intervenção da polícia no Darkside após seu ataque à Colonial Pipeline.
Como a WithSecure observou em seu novo relatório de ameaças H1 2024 hoje, geralmente se pensava que havia uma linha que os criminosos não ousariam cruzar, temendo que eles também enfrentassem a mesma pressão das autoridades dos EUA que a Darkside enfrentou. Alguns grupos juraram nunca mais atacar hospitais, por exemplo, embora isso não tenha durado muito.
No entanto, essa crença diminuiu, disse WithSecure, e isso aconteceu já no ano passado. Os criminosos não têm mais reservas em ir atrás dos alvos mais críticos, mesmo com o pano de fundo de várias grandes quedas no ano passado.
Essas quedas, especialmente do LockBit e do ALPHV, fortaleceram outros grupos. A Medusa, por exemplo, nunca havia postado mais de 20 vítimas em seu blog de vazamento em um único mês até a queda do LockBit.
Da mesma forma, empresas como Qilin, Hunters International, RansomHub e basicamente todos os outros grupos registraram números crescentes desde que os dois gigantes do ransomware dos últimos anos fecharam.
Um tanto confuso, apesar de todos os outros grupos se beneficiarem das ações da polícia, o número total de vítimas reivindicadas ano a ano caiu, e no último trimestre, os números também caíram, sugerindo que a luta está alcançando o efeito desejado. Está funcionando lentamente, é verdade, mas parece estar se movendo na direção certa.
“É quase certo que a ação da polícia impactou significativamente o ecossistema de ransomware”, disse WithSecure. “Embora seja muito cedo para tirar conclusões sobre a eficácia a longo prazo disso, no curto prazo houve um impacto positivo e marcante.”
O NCC Group notou uma tendência de queda semelhante em meados de 2024, mas estava menos certo sobre se ela continuaria. Houve um aumento de 20 por cento nas vítimas de ransomware reivindicadas em julho (395) em comparação a junho (329), mas o número ainda é significativamente menor do que os meses entre fevereiro e maio.
Ataques de ransomware registrados mensalmente, 2023 e 2024. Cortesia do NCC Group – clique para ampliar
“Ainda não se sabe se esse aumento reflete o início de uma tendência ascendente, e continuaremos monitorando essa atividade”, disse o NCC Group.
Os malfeitores se apegam aos ladrões de informações
A tendência estabelecida no ano passado, de que criminosos de ransomware estavam usando malware infostealer em uma escala muito maior, continuará até 2024, observaram os pesquisadores.
A IBM X-Force notou um aumento enorme no uso de infostealers em 2023, um ano em que muitos novos infostealers chegaram às prateleiras e, subsequentemente, um aumento acentuado nos ataques realizados usando credenciais válidas.
A pesquisa do SpyCloud no ano passado descobriu que, de 2.613 casos de ransomware examinados, 30 por cento envolveram o uso de credenciais coletadas por malware infostealer em seus estágios iniciais. Mais de três quartos deles (76 por cento) foram obra do Racoon Stealer, cujo código-fonte a LockBit supostamente estava tentando comprar.
Os corretores de acesso inicial (IABs), entre outras atividades, desempenham um papel importante na negociação dessas credenciais e geralmente são o tipo de criminoso que mais abusa dos infostealers.
“[IABs] facilitar ataques de ransomware ao permitir que esses grupos se concentrem menos em facilitar o acesso inicial e mais em encontrar afiliados e melhorar seu malware”, disse o NCC Group.
“Em termos de risco corporativo, observamos que os infostealers desempenham um papel fundamental no acesso inicial aos ambientes corporativos. Por exemplo, um funcionário pode estar procurando um software de edição de imagem em seu laptop de trabalho e baixar um aplicativo trojanizado por meio de envenenamento de SEO/malvertising, geralmente com alguns recursos de infostealer. Este aplicativo extrai o sistema, a rede e as informações do usuário, que podem ser vendidas ou usadas posteriormente para realizar ataques de acompanhamento ao usuário (phishing direcionado, etc.).
“Todo o ecossistema é conhecido como corretagem de acesso inicial, onde os infostealers atuam como um método para coletar informações e/ou credenciais válidas, até o ponto em que podem ser usados por outros agentes de ameaças, como operadores de ransomware, para sequestros de sessão de navegador, conexões com contas corporativas válidas e assim por diante.” ®
.
